Chinese Aquatic Panda-hackers maken direct misbruik van Log4j

Aquatische Panda, een Chinees hackcollectief, heeft de Log4j-kwetsbaarheid rechtstreeks gebruikt om een ​​niet nader genoemde academische instelling aan te vallen. De aanval werd ontdekt en bestreden door CrowdStrike's Overwatch threathunting-specialisten.

Volgens CrowdStrike, de Chinezen (staat) hackers lanceerden een aanval op een niet nader genoemde academische instelling met behulp van een ontdekte Log4j-kwetsbaarheid. Deze kwetsbaarheid is gevonden in een kwetsbare VMware Horizon-instantie van de getroffen instelling.

VMware Horizon-instantie

De bedreigingsjagers van CrowdStrike ontdekten de aanval nadat ze verdacht verkeer hadden opgemerkt van een Tomcat-proces dat onder de getroffen instantie werd uitgevoerd. Ze hielden dit verkeer in de gaten en bepaalden aan de hand van de telemetrie dat een aangepaste versie van Log4j werd gebruikt om de server binnen te dringen. De Chinese hackers voerden de aanval uit met behulp van een openbaar GitHub-project dat in december werd gepubliceerd 13.

Verdere monitoring van de hackactiviteit onthulde dat de Aquatic Panda-hackers native OS-binaries gebruikten om de privilegeniveaus en andere details van de systemen en domeinomgeving te begrijpen. De specialisten van CrowdStrike ontdekten ook dat de hackers probeerden de activiteiten van een actieve endpointdetectie en -respons van een derde partij te blokkeren (EDR) oplossing.

De specialisten van OverWatch bleven de hackers volgen’ activiteiten en konden de betreffende instelling op de hoogte houden van de voortgang van de hack. De academische instelling zou hier zelf op kunnen inspelen en de nodige beheersmaatregelen nemen en de kwetsbare applicatie patchen.

Aquatische Panda-hackers

De Chinese hackgroep Aquatic Panda is sinds mei actief 2020. De hackers richten zich uitsluitend op het verzamelen van inlichtingen en industriële spionage. aanvankelijk, de groep richtte zich vooral op bedrijven in de telecomsector, de technologiesector en overheden.

De hackers gebruiken vooral de zogenaamde Cobalt Strike toolsets, inclusief de unieke Cobalt Strike-downloader Fishmaster. De Chinese hackers gebruiken ook technieken zoals njRAt-payloads om doelen te raken.

Monitoring Log4j belangrijk

Als reactie op dit incident, CrowdStrike verklaarde dat de Log4j-kwetsbaarheid een zeer gevaarlijke exploit is en dat bedrijven en instellingen er goed aan zouden doen om hun systemen te controleren en ook te patchen voor deze kwetsbaarheid.